TLPT sous DORA : guide complet des tests de pénétration avancés

Depuis l’entrée en application du règlement DORA le 17 janvier 2025, les institutions financières font face à un niveau d’exigence sans précédent en matière de cybersécurité. Parmi les obligations majeures figure la réalisation de Threat-Led Penetration Tests (TLPT) – des exercices de Red Team avancés qui représentent bien plus qu’un simple audit de sécurité. Digitemis vous accompagne dans cette démarche complexe avec son équipe d’experts spécialisés.

Au-delà du simple pentest : comprendre les TLPT

Les tests de pénétration fondés sur la menace (TLPT) constituent un changement de paradigme dans l’approche des audits de sécurité. Contrairement aux pentests traditionnels qui se concentrent sur un périmètre technique spécifique, les TLPT visent à simuler des attaques complètes, inspirées par des menaces réelles et ciblant l’ensemble de la surface d’attaque d’une organisation.

Ce qui distingue fondamentalement les TLPT :

• Une base solide de Threat Intelligence : l’analyse préalable des menaces réelles qui pèsent spécifiquement sur votre organisation
• Une simulation d’attaque complète : l’exercice couvre tous les vecteurs possibles (technique, physique, humain)
• La réplication des tactiques, techniques et procédures (TTP) d’attaquants avancés
• Des tests en environnement de production sur les fonctions critiques ou importantes
• Une approche supervisée par les autorités compétentes

En d’autres termes, un TLPT ne se contente pas d’identifier des vulnérabilités isolées, mais évalue la capacité globale d’une organisation à détecter et répondre à une attaque sophistiquée, orchestrée par des adversaires déterminés. C’est un véritable exercice de résilience opérationnelle.

DORA et TLPT : qui est concerné et pourquoi ?

Le règlement DORA, entré en application le 17 janvier 2025, impose aux entités financières considérées comme systémiques de réaliser des TLPT au moins tous les trois ans. Cette obligation concerne notamment :

• Les établissements de crédit identifiés comme institutions d’importance systémique mondiale (G-SII) ou autres institutions d’importance systémique (O-SII)
• Les infrastructures de marché critiques (dépositaires centraux, contreparties centrales, etc.)
• Certaines plateformes de négociation dépassant des seuils spécifiques de parts de marché
• Les grands assureurs et réassureurs

Ces tests avancés sont exigés pour ces acteurs car une défaillance de leur système informatique pourrait avoir des conséquences dramatiques sur l’ensemble du système financier.

Il est important de noter, comme l’a précisé la Banque de France lors de son webinaire d’octobre 2024, que c’est l’autorité TLPT compétente qui décide, de manière unilatérale, quelles sont les entités à tester. Les institutions financières concernées recevront une lettre de désignation officielle les informant de leur obligation de réaliser un TLPT. Les critères de désignation sont définis dans les standards techniques réglementaires (RTS) et s’appuient sur le principe de proportionnalité.

Les 4 phases d’un TLPT réussi

Chez Digitemis, nous avons développé une méthodologie robuste pour la conduite des TLPT, alignée sur les exigences de DORA et le framework TIBER-EU/TIBER-FR. La durée totale estimée d’un TLPT est d’environ 60 semaines (soit plus d’un an), divisées en phases distinctes :

1. La phase de préparation (jusqu’à 24 semaines)

Cette phase cruciale pose les fondations du test et est définie par les étapes suivantes :

• Constituer votre Control Team interne (équipe responsable du pilotage du test)
• Définir précisément le périmètre du test, incluant les fonctions critiques ou importantes
• Préparer les documents d’initialisation (maximum 3 mois) et la spécification du périmètre (maximum 6 mois)
• Mener l’analyse des risques liés à la réalisation des tests
• Établir les canaux de communication sécurisés et les procédures d’urgence
• Préparer la documentation requise par la TCT-FR (TLPT Cyber Team France)

Il est à noter que la TCT-FR, composée de représentants de la Banque de France, l’ACPR et l’AMF, supervisera l’ensemble du processus et désignera un Test Manager (TM) dédié à votre test.

2. La phase de Threat Intelligence (environ 6 semaines)

Des analystes en Threat Intelligence développent des scénarios d’attaque basés sur des menaces réelles et actuelles. Cette étape comprend :

• L’analyse de votre exposition sur le web, les réseaux sociaux et le dark web
• L’identification des acteurs malveillants susceptibles de vous cibler (états-nations, cybercriminels, hacktivistes)
• L’étude de leur motivation (financière, stratégique, idéologique)
• La documentation de leurs tactiques, techniques et procédures (TTP) habituelles
• L’élaboration de scénarios d’attaque réalistes et adaptés à votre contexte

Le rapport de Threat Intelligence qui en résulte est soumis à validation par votre Control Team et la TCT-FR avant le lancement de la phase active. Il est important de noter que, selon les exigences de DORA et TIBER-FR, le prestataire de Threat Intelligence doit toujours être externe.

3. La phase de test Red Team (minimum 12 semaines)

C’est durant cette phase que nos Red Teamers mettent en œuvre les scénarios validés, après avoir élaboré un plan de test détaillé (RTTP). Nos experts certifiés, disposant d’une solide expérience en Red Team, exploitent l’ensemble des vecteurs d’attaque :

• Vecteur technique : exploitation de vulnérabilités, mouvements latéraux dans le réseau, élévation de privilèges…
• Vecteur humain : phishing ciblé, manipulation psychologique, usurpation d’identité…
• Vecteur physique : intrusion dans des locaux, accès à des zones sécurisées…

À la différence d’un test d’intrusion classique, aucun indice n’est donné à vos équipes de défense (Blue Team). L’objectif est d’évaluer non seulement la sécurité technique, mais aussi les capacités de détection et de réponse de l’organisation face à une menace persistante et sophistiquée.

Conformément aux exigences officielles, cette phase de test doit durer au minimum 12 semaines pour permettre une évaluation approfondie et réaliste de votre résilience.

4. La phase de clôture (environ 18 semaines)

Une fois la phase active terminée, nos experts participent à un processus structuré de restitution et d’amélioration :

• Production du rapport Red Team (sous 4 semaines) documentant chaque action réalisée et son impact
• Révélation du test à la Blue Team qui doit alors produire son propre rapport (sous 6 semaines supplémentaires)
• Rejeu des scénarios entre la Red Team et la Blue Team dans le but de clarifier les actions et d’identifier des remédiations
• Organisation de sessions de Purple Team (dans les 10 semaines suivant la fin du test actif) où la Red Team et la Blue Team analysent ensemble les résultats et capitalisent sur l’audit pour renforcer la sécurité surtout sur l’aspect détection
• Élaboration d’un plan de remédiation priorisé et réaliste (sous 8 semaines)
• Préparation d’un rapport de synthèse final (sous 8 semaines) à soumettre à la TCT-FR

À l’issue de cette phase, et après validation de l’ensemble des livrables, la TCT-FR délivrera une attestation officielle de réalisation du TLPT.

Cette phase est essentielle pour transformer l’exercice en améliorations concrètes et démontrer votre conformité aux exigences réglementaires.

L’expertise Digitemis : pourquoi nous faire confiance pour vos TLPT ?

Pour réussir un TLPT, le choix du prestataire est crucial. DORA précise d’ailleurs que les tests doivent être réalisés par des prestataires « de la plus haute qualification et réputation ». Comme l’a souligné la Banque de France en octobre 2024, l’accord de la TCT-FR est un prérequis à la sélection des testeurs et du prestataire de TI.

À ce titre, Digitemis se positionne comme un partenaire de choix en tant que prestataire Red Team pour plusieurs raisons :

Une équipe Red Team multidisciplinaire de haut niveau

Notre équipe dédiée combine des rôles et compétences complémentaires indispensables à la réussite d’un audit TLPT et est composée :

• D’un Red Team manager capable de piloter une telle mission sur toute sa durée dans le but de valider les objectifs d’audit
• De plusieurs opérateurs Red Team expérimentés et certifiés maîtrisant les techniques d’attaque les plus avancées sur diverses technologies
• Des développeurs offensifs permettant de simuler des attaques réalistes via des outillages dédiés et une importante force de R&D

Digitemis est qualifié PASSI (Prestataire d’Audit de la Sécurité des Systèmes d’Information), une certification délivrée par l’ANSSI qui garantit notre expertise et notre rigueur dans la réalisation de tests d’intrusion. Cette qualification est particulièrement pertinente dans le cadre des TLPT, où la qualité et la fiabilité des tests sont essentielles.

Une méthodologie éprouvée et conforme

Notre approche des TLPT s’appuie sur :

• Une parfaite conformité avec les exigences de DORA (Articles 26 et 27)
• L’alignement avec le framework TIBER-EU (mis à jour en février 2025) et sa déclinaison nationale TIBER-FR
• La qualification PASSI, recommandée par l’ANSSI pour les tests d’intrusion dans le secteur financier
• L’intégration des meilleures pratiques et référentiels internationaux (MITRE ATT&CK, OWASP, etc.)
• Une expérience concrète dans la réalisation d’exercices Red Team pour le secteur financier

Nous suivons rigoureusement les bonnes pratiques mentionnées dans le « TIBER-EU Service Provider Procurement Guide » pour garantir la qualité et la pertinence de nos interventions.

Le cadre TIBER-EU : mise à jour pour s’aligner avec DORA

Le 11 février 2025, l’Eurosystème a publié une mise à jour importante du framework TIBER-EU pour l’aligner avec les standards techniques réglementaires (RTS) de DORA concernant les tests de pénétration fondés sur la menace (TLPT). Cette actualisation renforce le statut de TIBER-EU comme cadre méthodologique de référence pour les TLPT sous DORA.

Les principales mises à jour incluent :

• Alignement des étapes du processus avec les livrables définis dans les RTS DORA, incluant des délais stricts pour la réalisation des différentes étapes
• Introduction du Purple Teaming comme obligatoire, conformément aux RTS DORA
• Changements terminologiques pour assurer la cohérence avec DORA (par exemple, « White Team » devient « Control Team »)
• Mise à jour du guide de sélection des prestataires avec des conseils pour évaluer la qualité des fournisseurs
• Simplification du processus d’adoption pour les autorités nationales

Cette harmonisation facilite la mise en œuvre des TLPT à travers l’Union européenne, en proposant une méthodologie commune et éprouvée. Elle confirme également que le framework TIBER est désormais pleinement intégré dans le dispositif réglementaire DORA, offrant ainsi une base solide pour la réalisation des tests de résilience cyber exigés par la réglementation.

Points clés à retenir concernant les TLPT sous DORA

Selon les informations officielles partagées par la Banque de France, voici quelques éléments essentiels à garder à l’esprit :

1. La sélection par les autorités : L’autorité TLPT compétente (TCT-FR en France) décide unilatéralement quelles entités doivent se soumettre à un TLPT.
2. La flexibilité des tests : Le cycle standard est de 3 ans, mais il peut être raccourci ou allongé sur décision de l’autorité TLPT.
3. Tests groupés possibles : Si plusieurs filiales d’un même groupe sont éligibles et partagent le même système d’information, un « Joint TLPT » peut être mis en place pour éviter les redondances.
4. Recours aux testeurs internes sous conditions : Sous certaines conditions approuvées par la TCT-FR, les entités peuvent utiliser des testeurs internes, mais un testeur externe doit être impliqué au moins tous les 3 tests.
5. Exception pour les établissements systémiques : Les établissements de crédit soumis au MSU (Mécanisme de Supervision Unique) ne peuvent jamais faire appel à des testeurs internes et sont désignés directement par la BCE.
6. Distinction entre les tests obligatoires et volontaires : Comme le souligne la Banque de France, vous pouvez réaliser des tests d’auto-évaluation à titre d’entraînement, mais ceux-ci n’auront pas valeur d’un TLPT officiel et ne vous libéreront pas de vos obligations.

Les bénéfices d’un TLPT avec Digitemis

Au-delà de la conformité réglementaire, un TLPT réalisé avec Digitemis offre de nombreux avantages pour votre organisation :

• Évaluation réaliste de votre résilience face à des attaques sophistiquées, répliquant les techniques des menaces réelles
• Test grandeur nature de vos capacités de détection et de réponse, sans les biais habituels des tests annoncés
• Entraînement de vos équipes à gérer des incidents complexes et multi-vectoriels
• Identification des faiblesses dans votre chaîne de défense, y compris les angles morts souvent négligés
• Justification d’investissements en cybersécurité auprès de votre direction, grâce à des rapports détaillés et factuels

Par ailleurs, notre maîtrise des spécificités du cadre TIBER-FR vous garantit un accompagnement optimal dans les échanges avec les autorités compétentes (TCT-FR), élément crucial pour la validation de votre TLPT.

5 conseils pour préparer efficacement votre TLPT

À la lumière des informations partagées par la Banque de France et de notre expérience, voici nos recommandations pour optimiser votre préparation :

1. Commencez tôt : un TLPT complet peut prendre jusqu’à 60 semaines (plus d’un an) de bout en bout selon le calendrier officiel, ne sous-estimez pas le temps nécessaire.
2. Constituez soigneusement votre Control Team : cette équipe restreinte est la clé du succès. Elle doit inclure des représentants de la direction et des experts techniques, mais rester aussi réduite que possible pour maintenir la confidentialité.
3. Préparez vos systèmes de production : le test se déroulant sur ces environnements sensibles, assurez-vous que vos processus de sauvegarde et de restauration sont solides et éprouvés.
4. Anticipez la gestion des risques : une gestion des risques active et continue est indispensable tout au long du test.
5. Choisissez des prestataires qualifiés : assurez-vous que vos prestataires de Threat Intelligence et Red Team répondent aux critères stricts du framework TIBER-EU/TIBER-FR et aux exigences de la TCT-FR.

Conclusion : le TLPT, un investissement stratégique

Les Threat-Led Penetration Tests représentent une évolution majeure dans l’approche de la cybersécurité pour les entités du secteur financier. Comme l’a confirmé la Banque de France, TIBER-FR sera en France le cadre de mise en œuvre des TLPT exigés par DORA, s’appuyant sur le framework TIBER-EU récemment mis à jour pour s’aligner parfaitement avec les exigences réglementaires.

Chez Digitemis, notre qualification PASSI et notre expertise des méthodologies TIBER-EU/TIBER-FR nous permettent de vous accompagner dans cette démarche exigeante avec une équipe d’experts pluridisciplinaires, une méthodologie rigoureuse, et une compréhension fine des enjeux réglementaires. Notre objectif : transformer cette obligation en une véritable opportunité d’amélioration de votre résilience opérationnelle.

Maintenant que DORA est entré en application, il est crucial d’agir rapidement : la préparation d’un TLPT nécessite une anticipation significative, et les équipes de spécialistes qualifiés sont une ressource limitée. Contactez nos experts dès aujourd’hui pour évaluer vos besoins et commencer à préparer votre Threat-Led Penetration Test.

Je partage